разных уровнях абстракции 


|| НА 
| Александр 


Сунгуров. 


кехпезз (но) ННЕоаа*" 


К8$ 5$есигКу 


На разных уровнях абстракции 


Александр Сунгуров 


Александр 


Архитектор по 
информационной 
безопасности 


м © 


2 ехпе$$ К8$ ЗесигИу | $ мпоап! 3 


К8$ зесигКу 


Что это? 


Кому будет полезен доклад: 


©, кого есть критичные 
сервисы/ РС! 0$$ в 
К8$ 


Кто использует в 
К8$ в облаках 


Кто активно 


использует К85$ 


++ 
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О чем поговорим? 
Ш Проблемы, которые = 
возникают | Доступ к К8$ | 
о Е» 
Использование | Безопасность среды | 
Адтззюп СоттгоПег. 
РЕР о 
| Аудит и логирование | 
Ш» СМ, его {гиз* + 
сетевое разделение 658 
| Пример архитектуры | 
[72 
| |5 Но | 


++ 
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Безопасность хостов 


е® Свапи дампы должны быть 
отключены для К8$ с 
критичными сервисами 


Кибегпеее$ 


® Контроль целостности 


файлов 
® Воркеры должны быть в 


приватных сетях 

Р а = 

® Го умолчанию все сетевые 
доступы запрещены 


® Контроль уязвимостей и 
патч-менеджмент 


е® ТЬ5$ по умолчанию » Аудит хостов 


ал 
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К8$ Адтузоп соттгоЙег$ 


Оес! | 
верен \Уа!да та Регз!\ед 


тих Ащпопгабоп адтиз$юЮп  Мабаабол адт$юп © ед 


и 


Ащпеписа\юп > Мавп9 


у } 


\ММеБКооКк |' \ММеБАооКк \МеБпоок | |1 


Аадгт!55юп Согигойег РВа$е$ 


2жехпе$$ К8$ Зесигйу | К8$ Ади! $юп сопгоНег 


— это 
механизм политик для К8$ с 
открытым исходным кодом, 
который объединяет 
применение политики во всем 
стеке. 
Сервис на схеме — 


ехпе$$ 


Очегу 
(апу /ЗОМ уаше) 


Кедиез{, Еует, ес. 


Зегмсе 


Оесзоп 
(апу /ЗОМ Маме) 


| Ореп ройсу адепт 


Ореп роПсу адеп 


ОРА разделяет принятие решений по политикам от 
обеспечения их соблюдения. 


Когда сервису нужно получить решение по политикам, 
он направляет запрос к ОРА и предоставляет 


структурированные данные, например У$ЗОМ на вход. 


ОРА принимает свободно структурированные 
данные на вход. 


++ 
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Ореп ройсу адег 


Кедо был вдохновлен Вад, 
который является хорошо понятным 
языком запросов десятилетней 
давности. 


Бедо расширяет Ва*а109 для 
поддержки структурированных 
моделей документов, таких как 
У$ОМ. 


7жехпе$$ (нь) НЕНГоаа ы 


Ореп Ройсу Адет 


К8$ Зесигйу | Ореп ройсу адег{ 


Ореп роПсу адепт 


Запросы Кедо — это утверждения 
о данных, хранящихся в ОРА. 


Эти запросы могут использоваться 
для определения политик, которые 
перечисляют экземпляры данных, 
нарушающих ожидаемое состояние 
системы. 


7хехпе$$ (нь) НЕНГоаа ы 


раскКаде ачеВ; 


1трогЕ Еабаге.Кеумога$ 


а11ом 1Е{ 
1прие.раЕеВ == ["изег$"] 
1прае.меЕевоа == "РОЗТ" 
} 
а11ом 1Е { 
1прае.раЕеВ == ["и5егз", 


1приае.изег 14] 


1прае.меЕероЯ == "СЕТ" 


К8$ Зесигйу | Ореп ройсу адег{ 


СаеКеерег 


р Ореп Ройсу Адет 


Са{еКеерег 


Механизм Са{еКеерег разработан для того, чтобы 
позволить администраторам обнаруживать и 
отклонять несоответствующие коммиты в системе 
"инфраструктура как код", что еще больше 
усиливает по соблюдению требований и 
предотвращает публикацию уязвимых сервисов. 


7жехпе$$ (нь) ННГоаа ы 


К8$ Зесигйу | СаеКеерег 


Са{екКеерег 


гезий$ 


к Бетвез 


7жехпе$$ (нь) НЕНГоаа ыы 


ар!зегуег 


Аат5$Юп 
Соттойег 


Ад! $юп 
Кемем 


Кер!сае 
Оче 


СаеКеерег _. | 
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Ореп ройЙсу адеп 


>КиресЕ1 гип па1пх —-ппаде = 


91пх> аоез пое Вауе 1таде ваз <па1пх> 

ет Ване: Баз-гезопгсез-— 61 пад] сопфазпег <па1пх> Баз по гезойгсе 11113 
[сопфа1пег-Ваз-гезопгсез-аеЁ1пеа] сопфа1пег <п91пх> Ваз по гезойпгсе геапезЕз 
[рзр-Чаепу-сарар111{1ез] сопфа1пег <па1пх> 13 поЕ Чгорр1п4а а11 геадиа1геЯ сарар111%1ез. Сопбалпег пшазЕ 


Ягор а11 оЕ ["А11"]. Сарар111&1ез ехрапа зоше Бозе ргорег&1ез. 


> 


>киресЕ1 арр1у -Е па1пх-зесагеа. уат1 
роЯ/па1пх-зесигеая сгеафеа 


атпх-зесагес 


#2>ехпе$5$ (не 


"В НИНГоаа ыы 


ВЕАРУ 
1/1 
ут 
1. 
Тит 


ЗТАТОЗ 

Вапп1па 
Випп1па 
Випп1па 
Випп1па 


[рзр-геаа-оп1у-гооЕ-Е11езузЕет] оп1у геаЯ-оп1у гооЕ Е11езузееш сопба1пег 153 а11омеЯ: па1пх. 
роа/па1пх сгеафеа 


ВЕБТАВТЬ 


0 


0 
0 
0 


К8$ Зесигйу | Ореп ройсу адег" 


Ореп роПсу адеп 
1прие сопфа1пегз$[с] { 
с := 
1прие об]есЕ соп®а1пег _зрес.ерБетега1Соп®а1пехгз [_] 


} 


1прие а11ом рг1\11еде сопфалпек (с) { 


с.зесиг1ЕуСопЕех®е.рг1\у11едеа == Егиае 
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2ехпе$$ (нь) НЕИГоая ыы К8$ Зесигйу | Ореп ройсу адепЕ 15 
2022 


Ореп роПсу адепт 
\101аЕ1оп [{"тзд": шза, "аеба11$": {}}] { 
с := тариЕ сопфазпегз [_] 
1праЕ а11ом рг1\11еде сопфазпехк (с) 
шза := зрг1пЕЕ ("Рг1у11едеа 1п1ЕСопЕалпег$ 1$ 
поЕ а11омеа: %\%. Випп1пда аз а рг1у11едеа длуез Ея11 
ассезз Фо ЕБе Бозе ЕБаЕ ЕБе сопЕазпег 1$ гапп1па оп. ТЬ1$ 


15 чпассербаБ1е Егом а зесиг1Еу розпЕ оЕЁ у1ем.", 


[с.паме]) 


} 


++ 
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Ореп роПсу адеп 
— паше: ебс 
шоип$ Рае В: /уаг/гиап 
— паше: уаг 
шоппс Рав: /уаг/сасБе/па1пх 
зесиг1® уСоптехе: 
теаЯОп1уВоофЕ1 1езузтем: 
сараб111+{1ез; 
Аагор: ["АШ"] 
уо1итез : 
— раме: ебс 
етреуО1г: {} 
— паме: уаг 
етрЕу01г: {} 


ТУ 


О о а 
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Доступ в интернет 


ас1 1оса1пее згс 192.168.0.0/24 
ас1 ЕохЬ1Ааеп АзЕ4ота1п "/еёс/зча1А/Еогр1АЧеп Ааота1пз" 


ВЕЕР ассез$ а11ом 1оса1пее !ЁЕогЬ1Ааеп 


ищете! 


++ 
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СМ 


Наппе! СМ 
Сайсо рат 
Сит 


Еаппе! аа 
\Меауепе{ 


Виаде см! 
ридт 


Во${-оса! 
РАМ СМ 
рот 
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|5о: тезй 


2Хехпе$$ (нь) НЕНГоаа а 


15 Но расширяет возможности 
Кирегпее$ для создания 
программируемой сети с 
поддержкой приложений с 
использованием мощного 
прокси-сервера службы Епуоду. 


К8$ Зесигиу | 1$Но: тезВ 


|5Но: особенности 


® Безопасная связь между службами в кластере с помощью 
шифрования ТЕ $ 


® Автоматическая балансировка для НТТР, ачКРС, \\МебЗоскКе* 
и ТСР {га с 


® Детальный контроль поведения трафика 
® ’Конфигурируемый уровень политики 


® Автоматические показатели, журналы и трассировки 
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|5Но: особенности 


7>ехпе$5$ 


Зегмсе А 


| 


Епуоу ргоху 


91зсоуегу 
сопЯдугаНоп 
сег{са{е$ 


7 


1510 
соп{го! р!апе 


Зегмсе В 


| 


Епуоу ргоху 


41зсоуегу 
сопЯдиугаНоп 
сег{Яса{е$ 


К8$ Зесигиу | 15Но: особенности 
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[5Но: Как это работает 


® Оаа р!апе взаимодействует со всеми 
микросервисами решения 


е Зегумсе тезй использует прокси-сервер 
для перехвата всего вашего сетевого 
трафика, предоставляя широкий набор 
функций, зависящих от приложении, в 
зависимости от заданной вами 


конфигурации 
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[5Но: Как это работает 


® Прокси-сервер Епуоу развертывается 
вместе с каждой службой, которую вы 
запускаете в своем кластере, или 
запускается вместе со службами, 
запущенными на виртуальных машинах 


е® Сотго| принимает желаемую 
конфигурацию и ее представление о 
службах и динамически программирует 
прокси-серверы, обновляя их по мере 
изменения правил или среды 


++ 
® ++ 
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|зНо: Безопасность 


е® Центр сертификации (СА) для ключей и менеджмента 
сертификатов 
е Конфигурационное АР! доставляет параметры до: 


о ПОЛИТИКИ аутентифка ЦИИ 


о Политики авторизации 
о Политики именования 


++ 
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|зНо: Безопасность 


® Сайдкары и прокси работают как точки распространения политик 
для обеспечения безопасного взаимодействия клиентов и 


серверов 


е® Набор расширений прокси-сервера Епуоу для управления 
телеметрией и аудитом 


++ 
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Как это работает 


ага р\апе 


НТТ, ВРС, ТСР 


Сощеш 
Шатез$ 


Сошо! Рапе Имег {асе 


Сопио1 пе 


Сепйеме 
аш Вогиу 


мог 
ига оп 


АР с: 
сопё 


Рага р\пе е Госа! 
гай с а ашвоптаю п СегИйсме 


ехпе$$ |1$Но: Безопасность 27 


РК 


® СА-сертификат хранится в НМ 
® Каждая среда К8$ со своим рк! 
® Необходимо создать промежуточный СА сзг и подписать в СА 


® Необходимо создать промежуточный СА сзг для кластера и 
подписать на промежуточным СА 


® 150 создает с$г и сертификаты для приложений сам 


++ 
7кехпез$ (нь) НиИЬоа@** К8$ Зесигйу | РКГ — 28 
2022 


ехпе$$ 


С 


Воо{ СегЕЯсате ге}егепсе 
— 


ехатр!е.сот 


к. 


$191 


С 


[пфегтедтате 
СегиЯЙсате 


ехатр/!е.сот 


ге]егепсе 


1Чепеху 
СегЕЯсате 


{е5{.ехатр!е.сот 


[РК 
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[5Но: управление сертификатами и 
учетными записями 


® |5Но предоставляет учетные записи с Х.509-сертификатами для 
каждого сервиса 


е 1|°Но-агенты, работая вместе с каждым прокси-сервером Епмоу, 


взаимодействуют с 1$Но4, чтобы автоматизировать масштабную 
ротацию ключей и сертификатов 


++ 
® ++ Е = 
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управление сертификатами и 


учетными записями ЕТ 


ехпе$$ 


© Зегусе А 


Сегийсае апд риуае Кеу 


Ргоху 


$1ете4 
сеишсае 


Сенеме 
Ашвогау 


5004 


|1$Но: управление сертификатами и учетными записями 
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[5Но: Аутентификация 


Реег ац(ПепйсаНоп: используется для аутентификации 
от службы к службе для проверки клиента, 
устанавливающего соединение. 


Предлагает тифиа! ТЕ$ в качестве 
полнофункционального решения для транспортной 
аутентификации, которое может быть включено без 
необходимости изменения кода приложения. 
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[5Но: Аутентификация 


Кедие${ аи{Пеп#саНоп: Используется для 
аутентификации конечного пользователя для проверки 
учетных данных, прикрепленных к запросу. 


|°Но обеспечивает аутентификацию на уровне запроса с 
проверкой веб-токена УЗОМ (3\МТ) и оптимизирует опыт 
разработчика с использованием пользовательского 
поставщика аутентификации или любых поставщиков 
ОрепШ Соппесе. 


++ 
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|$Но: ОРА 


Кастомные действия позволяют интегрировать 1$ с 
внешними системами аутентификации, которые реализуют 
их собственную логику. 


Мы можем использовать Ореп Ройсу Адеп{ как способ 
авторизации сервисов и приложений. 


++ 
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ОРА 


1. гедие${ мип 
ассе$$ 1океп 


АР! сйег" 


ехпе$$ 


Кибетае$ си$ег 


Ассе$$ 
Мападетег: 
Зегисе 


2. уайдае 1океп, 
‘тапЗае {о спеп! Чет у 


Зегисе А род 


4. 


у 


Зегусе А 


5. аедае 
10 зегусе В 


3. ампойгхаНоп 
дес!оп 


ОРА $аесаг 


'Зегисе А Аш? , 


'ройсу тоигиед | 


15Но Епуоу ргоху $есаг 


ОРА $аесаг 


'Зегисе ВАШИ7 
'ройсу тоигиед , 


[1$Но: ОРА 
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К8$ + Кеусюак 


#ехпе$$ 


Единый вход и выход из системы с возможной интеграцией с 
КегБего$ (ЕОАР или АсНуе Отесогу) 


Поддержка Ореп Соппес{ и ЗАМЕ 2.0 
Вход в систему через социальные сети 


Управление учетными записями пользователей как через веб- 
консоль, так и через ВКЕЗТ АР! 


Детальная авторизация для различных сервисов 


К8$ Зесигну | К8$ + Кеусоак 


К8$ + Кеусюак 


Тпдге$$ 


Кеус1оаКк 


Кибегпете$ 
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Более гибкое решение, чем другие 
провайдеры 

На одну точку отказа меньше 
(может быть, на несколько меньше) 
Меньшее потребление ресурсов 


Больше модулей на узел 


ехпе$$ 


ЕЯ АМ/З СЮца 


ЕК$ Сшзег 


Ассошт1002 


ЧепШу апа Ассез$ Мападетети 
| 
1АМ Во!е002 


в в 


м 001 
АМ Ро1су001 1АМ Ро!су002 


ВЕ 


5 


$3 Виске! 


| ЕК$ ОШС 


ЕК$ ОС 


е Задержка может сократиться на -50 мс. 
Особенно для первого запроса 

е® Предотвращение проблем с 
кэшированием учетных данных 

® Лучший аудит 


е Легкое внедрение 


7 ехпе$5$ 


ЕУЕЗ А\/З СЮюца 


1 
1АМ Во!е001 


м“ 
У“ 
х 


1АМ РоПсу001 


(= 


ЕК$ Сшзег 


| 
1АМ Ао!е002 


2 - Вы 


1АМ Ро|су002 


о 
иске! 


$3 В! 
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Обнаружение 


Предотвращение 
Мониторинг а ьь Сопкатег 
Логирование 

ехпе$$ 
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еВРЕ: применение в безопасности 


® СШит — сеть на основе еВРЕ с поддержкой контейнеров, 
видимостью, безопасность 

е КГа!со — инструмент безопасности с открытым исходным кодом 
для контейнеров, Кибетще$ и облаков 

® КиреАгтог — система обеспечения безопасности среды 
выполнения с поддержкой контейнеров 


е® Р!хе — модифицируемая система сбора данных для Кибетще$ 


++ 
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Безопасность контейнеров 


Безопасность, основанная на функционале еВРЕ. У Еако. 


Он обнаруживает события, важные для безопасности, такие как: 
е запуск процессов \ 


е Системные вызовы 


м. © 


® |/О-активность (сеть & доступ к файлам) № 
Тегадоп 


++ 
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